一种保护计算机网络的一部分免受恶意软件攻击的计算机实现的方法,该计算机网络包括网络连接设备,网络连接设备被组织成被建模为树形数据结构的分层子网,在树形数据结构中,各个子网被表示成树中的一个节点,除了根节点之外,各个节点具有到父节点的连接,该方法包括:针对网络中的各个子网生成动态系统,各个动态系统对子网中的易受恶意软件感染、已被恶意软件感染、被保护免受恶意软件感染以及修复了恶意软件感染的网络连接设备的数量的变化率进行建模,动态系统基于恶意软件在所有子网对之间的传输率;针对网络中的各个子网,基于动态系统对子网在预定时间点的感染风险的度量进行评估,并将该风险与树中的对应于子网的节点相关联;对树形数据结构中的感染风险低于预定风险阈值水平的节点的第一子集进行识别;并且对树形数据结构中的节点的第二子集进行识别,第二子集是第一子集的子集,第二子集包括与树形数据结构中的感染风险达到或超过预定风险阈值水平的节点具有连接的节点;对与节点的第一子集中的各个节点相关联的子网中的设备执行保护动作,以提供针对恶意软件的保护,优先考虑与节点的第二子集相关联的子网中的设备,以便提供被保护免受恶意软件的子网的屏障,以阻止恶意软件传播到与节点的第一子集中的各个节点相关联的子网中的设备。
【技术实现步骤摘要】
【国外来华专利技术】恶意软件屏障本专利技术涉及在计算机系统中检测恶意软件。具体地,本专利技术涉及对恶意软件感染的发生的预测。恶意软件检测技术通常是在注意到威胁或攻击时利用系统之间的通信而逐系统实施的。例如,组织实施标准恶意软件检测技术,该标准恶意软件检测技术安装在连接至内部网的各个系统、设备或资源中或针对连接至内部网的各个系统、设备或资源安装。这样的方案具有以下缺点:依靠通信速度、恶意软件检测规则的更新速度以及那些规则的实施速度来有效地对恶意软件攻击做出响应。因此,减轻这些缺点将是有益的。因此,本专利技术在第一方面中提供了一种保护计算机网络的一部分免受恶意软件攻击的计算机实现的方法,所述计算机网络包括网络连接设备,所述网络连接设备被组织成被建模为树形数据结构的分层子网,在所述树形数据结构中,各个子网被表示成所述树中的一个节点,除了根节点之外,各个节点具有到父节点的连接,所述方法包括以下步骤:针对所述网络中的各个子网生成动态系统,各个动态系统对所述子网中的易受恶意软件感染、已被恶意软件感染、被保护免受恶意软件感染以及修复了恶意软件感染的网络连接设备的数量的变化率进行建模,所述动态系统基于恶意软件在所有子网对之间的传输率;针对所述网络中的各个子网,基于所述动态系统对该子网在预定时间点的感染风险的度量进行评估,并将所述风险与所述树中的对应于该子网的节点相关联;对所述树形数据结构中的感染风险低于预定风险阈值水平的节点的第一子集进行识别;并且对所述树形数据结构中的节点的第二子集进行识别,所述第二子集是所述第一子集的子集,所述第二子集包括与所述树形数据结构中的感染风险达到或超过所述预定风险阈值水平的节点具有连接的节点;对与节点的所述第一子集中的各个节点相关联的子网中的设备执行保护动作,以提供针对恶意软件的保护,优先考虑与节点的所述第二子集相关联的所述子网中的设备,以便提供被保护免受恶意软件的子网的屏障,以阻止恶意软件传播到与节点的所述第一子集中的各个节点相关联的子网中的设备。优选地,所述时间点是第一时间点,并且所述方法还包括以下步骤:评估第二时间点的估计,在所述第二时间点,关于与节点的所述第二子集中的各个节点相关联的所述子网中的设备的所述保护动作将被完成;并且响应于确定所述第二时间点距所述第一时间点小于预定的最小时间段阈值,针对比所述第二时间点晚至少所述阈值时段的新的第一时间点重复所述评估步骤、所述识别步骤和所述执行步骤。优选地,所述保护动作包括按照使得子网中的易受感染的设备表现得不易受到恶意软件感染的方式对所述子网中的设备进行修改。优选地,所述保护措施包括针对所述目标子网中的已被恶意软件感染的设备的修复措施。因此,本专利技术在第三方面中提供了一种计算机程序单元,所述计算机程序单元包括计算机程序代码,当所述计算机程序代码被加载到计算机系统中并在所述计算机系统上执行时,所述计算机程序代码使所述计算机执行前述方法的步骤。现在将参照附图仅通过示例的方式描述本专利技术的实施方式,其中:图1是适合于本专利技术实施方式的操作的计算机系统的框图;图2是根据本专利技术实施方式的用于对计算机网络的目标子网进行保护的网络保护器的结构的组件图。图3是根据本专利技术实施方式的对目标子网进行保护的方法的流程图;图4是根据本专利技术实施方式的用于对计算机网络的一部分进行保护的网络保护器的结构的组件图;图5是根据本专利技术实施方式的用于对计算机网络的一部分进行保护的方法的流程图;以及图6是根据本专利技术实施方式的用于对计算机网络的一部分进行保护的另选方法的流程图。本专利技术的实施方式逐子网地提供抵抗恶意软件攻击的保护,其中,如本领域公知的,子网是作为IP网络的逻辑细分的子网络。网络连接设备通过其网络地址的一部分中的共同标识符而与计算机网络中的子网相关联。在互联网协议(IP)版本4寻址中,在IP地址的一组最高有效位中标识子网,如本领域技术人员所知的,特定的一组比特由子网掩码表征。可以按照使得网络有组织地划分成子网并且子网自身可以进一步细分成另外的子网的方式对子网进行分层地有组织地建模。因此,子网可以由子网的树形结构表示,该树形结构中的各个节点对应于一子网,并且除了该树的根节点之外,各个节点具有父节点。本专利技术的实施方式利用作为子网树的子网之间的关系模型来预测子网中的设备的传输以及被作为恶意软件的恶意软件感染。具体地,已知与层次结构上较远的子网之间的传输和交叉感染相比,在子网的层次结构中直接链接的子网之间的传输和交叉感染发生的可能性较高并且发生率较高。本专利技术的实施方式采用各个子网作为动态系统的模型来确定子网中的易受恶意软件感染、已被恶意软件感染、被保护免受恶意软件感染以及修复了恶意软件感染的网络设备的数量的变化率。各个动态系统是描述各个参数的时间依赖性的函数(诸如本领域中已知的微分方程)。采用这种动态系统,可以针对一时间点确定层次结构中的特定子网中的设备的感染的风险或可能性。此外,这种风险信息可以用于通过部署恶意软件保护措施(诸如反恶意软件服务或修复、纠正和/或移除恶意软件所依赖的漏洞)来减轻、防止或缓解这种感染的可能性。此外,这种风险信息可以用于识别出网络中的在一时间点感染风险较低的子网,并因此识别出要优先考虑保护措施的子网,以防止与该子网的通信从而提供对恶意软件传播的屏障。图1是适合于本专利技术实施方式的操作的计算机系统的框图。中央处理器单元(CPU)102经由数据总线108在通信上连接至存储部104和输入/输出(I/O)接口106。存储部104可以是任何读/写存储设备(诸如随机存取存储器(RAM)或非易失性存储设备)。非易失性存储设备的示例包括磁盘或磁带存储设备。I/O接口106是对设备的接口,用于数据的输入或输出,或者用于数据的输入和输出两者。能够连接至I/O接口106的I/O设备的示例包括键盘、鼠标、显示器(诸如监视器)和网络连接。图2是根据本专利技术实施方式的用于对计算机网络202的目标子网进行保护的网络保护器200的结构的组件图。网络保护器200是用于对网络202中的目标子网进行保护的软件、硬件、固件或组合组件。网络202包括多个子网,各个子网具有网络连接设备,并且各个子网有组织地分层并表示为树形数据结构,该树形数据结构每子网具有一个节点,其中除了树的根节点之外,各个节点具有父节点。因此,提供了被标识为A到M的子网。例如,实际上,子网A可以由以10.xxx.xxx.xxx开头的IP地址表示,其中子网B由以10.102.xxx.xxx开头的IP地址表示,并且子网C由以10.103.xxx.xxx开头的IP地址表示。这种子网寻址是本领域技术人员熟悉的。网络保护器200针对网络202中的各个子网生成动态系统,以提供一组动态系统204。因此,图2中用虚线例示的动态系统204分别对应于网络202中的子网。各个动态系统对子网中的易受恶意软件感染、已被恶意软件感染、被保护免受恶意软件感染以及修复了恶意软件感染的网络连接设备的数量的变化率进行建模,动态系统基于恶意软件在子网对之间的传输率。在本专利技术实施方式中,各个子网中的网络设备本文档来自技高网...
【技术保护点】
1.一种保护计算机网络的一部分免受恶意软件攻击的计算机实现的方法,所述计算机网络包括网络连接设备,所述网络连接设备被组织成被建模为树形数据结构的分层子网,在所述树形数据结构中,各个子网被表示成所述树中的一个节点,除了根节点之外,各个节点具有到父节点的连接,所述方法包括以下步骤:/n针对所述网络中的各个子网生成动态系统,各个动态系统对所述子网中的易受恶意软件感染、已被恶意软件感染、被保护免受恶意软件感染以及修复了恶意软件感染的网络连接设备的数量的变化率进行建模,所述动态系统基于恶意软件在所有子网对之间的传输率;/n针对所述网络中的各个子网,基于所述动态系统对该子网在预定时间点的感染风险的度量进行评估,并将所述风险与所述树中的对应于该子网的节点相关联;/n对所述树形数据结构中的感染风险低于预定风险阈值水平的节点的第一子集进行识别;并且/n对所述树形数据结构中的节点的第二子集进行识别,所述第二子集是所述第一子集的子集,所述第二子集包括与所述树形数据结构中的感染风险达到或超过所述预定风险阈值水平的节点具有连接的节点;/n对与节点的所述第一子集中的各个节点相关联的子网中的设备执行保护动作,以提供针对恶意软件的保护,优先考虑与节点的所述第二子集相关联的所述子网中的设备,以便提供被保护免受恶意软件的子网的屏障,以阻止恶意软件传播到与节点的所述第一子集中的各个节点相关联的子网中的设备。/n...
【技术特征摘要】
【国外来华专利技术】20180325 EP 18163819.81.一种保护计算机网络的一部分免受恶意软件攻击的计算机实现的方法,所述计算机网络包括网络连接设备,所述网络连接设备被组织成被建模为树形数据结构的分层子网,在所述树形数据结构中,各个子网被表示成所述树中的一个节点,除了根节点之外,各个节点具有到父节点的连接,所述方法包括以下步骤:
针对所述网络中的各个子网生成动态系统,各个动态系统对所述子网中的易受恶意软件感染、已被恶意软件感染、被保护免受恶意软件感染以及修复了恶意软件感染的网络连接设备的数量的变化率进行建模,所述动态系统基于恶意软件在所有子网对之间的传输率;
针对所述网络中的各个子网,基于所述动态系统对该子网在预定时间点的感染风险的度量进行评估,并将所述风险与所述树中的对应于该子网的节点相关联;
对所述树形数据结构中的感染风险低于预定风险阈值水平的节点的第一子集进行识别;并且
对所述树形数据结构中的节点的第二子集进行识别,所述第二子集是所述第一子集的子集,所述第二子集包括与所述树形数据结构中的感染风险达到或超过所述预定风险阈值水平的节点具有连接的节点;
对与节点的所述第一子集中的各个节点相关联的子网中的设备执行保护动作,以提供针对恶意软件的保护,优先考虑与节点的所述第二子集相关联的所述子网中的设备,以便提供被保护免受恶...
【专利技术属性】
技术研发人员:王晓思,崔湛,I·赫尔沃诺,
申请(专利权)人:英国电讯有限公司,
类型:发明
国别省市:英国;GB
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。